概述
系统定级阶段的主要工作是参考等级保护定级标准对医院内部各类信息系统进行等级保护定级。根据卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的定级准则，结合医院及地方政策等实际情况进行系统定级。针对客户对于信息系统分类定级流程不清楚的情况，我公司可以提供完善的医疗信息系统定级备案咨询服务。可以根据客户单位性质、组织架构、业务特点等内容，帮助客户确定不同医疗信息系统的定级标准，协助编写定级报告及完善各类定级备案资料。

医疗卫生行业客户面临的问题

1) 如何筛选定级系统，即确定哪些信息系统需要进行定级；

2) 如何对选定的信息系统进行合理定级，即确定等级保护级别；

3) 如何进行定级备案，即该准备哪些文档、定级备案如何申请等。

解决方案

1) 政策咨询服务，包括涉及等级保护相关的国家政策、行业规范的咨询服务；

2) 定级系统筛选，通过分析单位性质、组织架构、业务特点等工作，最终确定需要进行备案的信息系统；

3) 协助客户确认信息系统等级，帮助编写信息系统定级报告；

4) 备案服务，帮助客户检查备案相关资料，协助客户去公安机关进行备案。

概述
以计算机信息系统安全保护等级基本要求为依据，从技术要求、管理要求出发，对医院核心信息系统进行全方位、多维度的安全评估，找出信息系统当前的安全技术措施与等级保护标准要求之间的差距。总结当前信息系统安全整改建设的需求，为医院后续的整改工作提供事实依据。

医疗卫生行业客户面临的问题

1) 缺少专业的信息系统安全评估人员；

2) 缺少专业的安全评估第三方工具及方法，比如配置核查、渗透测试等等级测评方法。

解决方案

1) 专家检查，由经验丰富的安全工程师对信息系统进行人工检查，检查内容包括网络体系架构检查、安全配置基线检查、策略配置基线检查、安全补丁核查、系统平台安全检查等内容；

2) 漏洞检查，由自有知识产权的漏洞扫描工具对信息系统进行全方面的漏洞检测，包括主机漏洞扫描、系统漏洞扫描、应用漏洞扫描、源代码漏洞扫描等；

3) 渗透测试，包括黑盒/白盒测试方法、安全渗透测试专家的现场测试等方式发现信息系统存在的安全漏洞或风险；

4) 管理制度完善，结合等级保护相关管理要求，参照ISO27001、ISO20000等体系标准，完善单位内部管理制度，有效封堵制度漏洞。

概述
以差距评测报告和信息系统安全等级保护基本要求为基本依据，对已经发现的安全问题进行整改。通过整体安全建设规划进行总体的安全技术设计，将不同层面的安全防护措施整合成一套安全防护体系，全面落实等级保护基本要求中对于物理安全、网络安全、主机安全、应用安全、数据安全等方面的要求，最大程度提升安全防护技术水平和能力。

医疗卫生行业客户面临的问题

如何选择对应的安全产品或安全服务形成最优化的组合方式解决现有问题，保证投资的有效性，避免重复投资。

解决方案

1) 根据差距评测报告及等级保护基本要求，完成总体安全设计规划，并协助客户完成相关安全产品或安全服务的采购；

2) 根据差距评测报告及等级保护基本要求，完善系统架构优化、基线配置、安全加固配置等工作；

3) 根据差距评测报告及等级保护基本要求，制定不同设备的安全配置策略，并进行合理配置；

4) 管根据差距评测报告及等级保护基本要求，根据实际情况，对内部管理制度进行补充，包括但不限于安全巡检、安全轮值等内容。